log-in-3938432_640.jpg

Metade dos sites ainda usa chaves criptográficas legadas

Da Redação
10/12/2021

A internet está se tornando mais segura no geral, mas pouco mais da metade das chaves digitais dos sites ainda são geradas por meio de algoritmos de criptografia legados, de acordo com uma nova pesquisa da empresa de segurança Venafi. Ela contou com a ajuda do famoso pesquisador Scott Helme para analisar 1 milhão de sites mais importantes do mundo nos últimos 18 meses.

O relatório do rastreador TLS (Transport Layer Security, protocolo de segurança nas comunicações)resultante revelou algum progresso em algumas áreas. Quase três quartos (72%) dos sites agora redirecionam ativamente o tráfego para usar HTTPS (protocolo de transferência de hipertexto seguro que protege a confidencialidade dos dados), um aumento de 15% desde março de 2020. Melhor ainda, mais da metade dos sites estudados que usam HTTPS estão na versão mais recente do TLS: TLSv1.3. Ele agora ultrapassou o TLSv1.2 para se tornar a versão de protocolo mais popular.

Além disso, quase um em cada cinco dos 1 milhão de sites agora usa o HSTS (HTTP Strict Transport Security) mais seguro — um aumento de 44% desde março de 2020. 

Melhor ainda, o número de 1 milhão de sites usando certificados EV (certificado SSL de validação estendida)está em seu ponto mais baixo nos últimos seis anos de análise. Eles são conhecidos por processos de aprovação manuais lentos, que geram muito atrito para os usuários finais. Por outro lado, o Let’s Encrypt muito mais amigável agora é a autoridade de certificação líder para certificados TLS, com 28% dos sites usando-o.

No entanto, também há trabalho a ser feito. O relatório descobriu que quase 51% dos sites ainda usam algoritmos de criptografia RSA legados para gerar chaves de autenticação. Juntamente com o TLS, eles formam as “identidades de máquina” que ajudam a validar e proteger as conexões entre dispositivos físicos, virtuais e IoT, APIs, aplicativos e clusters.

Veja isso
18 websites militares atacados nos EUA
Milhões de sites WordPress estão sendo atacados, por bug em plug-in

O RSA é significativamente menos seguro do que a alternativa moderna ECDSA (Elliptic Curve Digital Signature Algorithm), um algoritmo de criptografia de chave pública que possui maior complexidade computacional e chaves de autorização menores. Este último caso significa que as chaves exigem menos largura de banda para configurar uma conexão SSL/TLS, o que as torna ideais para aplicativos móveis e suporte para IoT e dispositivos incorporados, de acordo com Venafi.

Helme classificou as descobertas da RSA como “uma vergonha e um tanto surpreendente”. “Eu esperava que o aumento na adoção do uso de TLSv1.3 elevasse muito mais os números do ECDSA. Um dos principais motivos para manter o RSA disponível para autenticação são os clientes legados que ainda não oferecem suporte ao ECDSA, mas parece em conflito com o grande aumento do TLSv1.3, que não é compatível com clientes legados. Também continuamos a ver o uso do RSA 3072 e do RSA 4096 em números preocupantes”, explicou ele à Infosecurity.

“Se você estiver usando chaves RSA maiores por motivos de segurança, com certeza já deve estar no ECDSA, que é um algoritmo de chave mais forte e oferece melhor desempenho. Minha intuição aqui é que há um monte de coisas legadas por aí, ou os operadores de sites simplesmente não perceberam as vantagens de mudar para ECDSA”, finalizou Helme.

Compartilhar: